ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

Transcripción

1 ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO INTERADMINISTRATIVO No OFERTA PÚBLICA DE CONTRATO OPC OPERACIÓN INTEGRAL DE LAS SOLUCIONES TECNOLÓGICAS DE GOBIERNO EN LÍNEA, LA PLATAFORMA DE INTEROPERABILIDAD Y LA INFRAESTRUCTURA Y SERVICIOS ASOCIADOS A LA INTRANET GUBERNAMENTAL BOGOTÁ D.C., AGOSTO DE 2011 ANEXO 18 Página 1 de 5

2 ANEXO 18 GLOSARIO Acuerdos de Niveles de Servicio: Es un acuerdo negociado formalmente entre dos partes. Es un contrato que existe entre el cliente y su proveedor de servicio, o entre proveedores de servicio. Registra el entendimiento común de los servicios, prioridades, responsabilidades, garantías y demás, conocidos en forma colectiva como el "nivel de servicio". Aplicación: Producto ó desarrollo de software del MINTIC ó de las Entidades, que es entregado para su instalación y operación en el Centro de Datos de la Intranet Gubernamental. También se denomina como Solución en el Centro de Datos. Auditorías Externas: Actividad relacionada con el control del cumplimiento de las Normas del Modelo de Seguridad y de los compromisos del Modelo de Operación. Capa Tecnológica: Esta hace referencia a capas funcionales basadas en la tendencia de desarrollo de la aplicación. (Capa de Presentación (interacción usuario), Aplicación (lógica de negocio) y Base de Datos (residencia de datos y acceso a los mismos)). Centro de Contacto Ciudadano: Es el punto integrado de contacto donde, a través de diferentes canales como el teléfono, correo electrónico, charlas interactivas y fax, se brinda atención, respuestas inmediatas y seguimiento a las solicitudes de ciudadanos, empresas y servidores públicos. Centro de Datos: Es la ubicación física donde se concentran todos los recursos necesarios para el procesamiento y almacenamiento de la información del Programa Agenda de Conectividad y Entidades usuarias. CERT TN-020: Governing for Enterprise Security (GES), Implementation Guide. CMMI (Capability Maturity Model Integration): el Modelo de Capacidad y Madurez Integrado es una aproximación que provee a organizaciones con los elementos esenciales de procesos efectivos. Puede ser utilizada para guiar la mejora de procesos a través de un proyecto, división u organización. El CMMI ayuda a integrar funciones organizacionales tradicionalmente separadas, fija metas y prioridades de mejora de procesos, provee un guía para procesos de calidad y provee un punto de referencia para evaluar procesos actuales. COBIT (Control Objetives for Information and Related Technology): el objetivo de COBIT es proveer a los dueños de procesos del negocio y a la gerencia, un modelo de gobernabilidad de tecnología de información que ayude a entregar valor desde TI y entender y administrar los riesgos asociados con TI. Es un modelo de control que llena las necesidades de la gobernabilidad de TI y asegura la integridad de la información y los sistemas de información 1. Componente: Conjunto de elementos de infraestructura de TIC, procesos y servicios, que hace parte de la Intranet Gubernamental. Cinco componentes conforman esta Intranet Gubernamental: La Red de Alta Velocidad del Estado Colombiano (RAVEC), el Centro de Datos, el Centro de Contacto Ciudadano, la Administración de Soluciones y el Mantenimiento de Soluciones. Descuento: Disminución en el valor de la factura a cancelar generado por el incumplimiento en los ANSs. Entidades Usuarias: Son aquellas entidades de los poderes ejecutivo, legislativo y judicial que harán uso de los servicios ofrecidos por la Intranet Gubernamental. El Anexo 13 relaciona las que actualmente hacen uso de los servicios de la Intranet Gubernamental. FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems. Horas Hábiles: Horario de 8:00 a.m. a 6:00 p.m. de Lunes a Viernes. 1 Fuente ANEXO 18 Página 2 de 5

3 IEC TR 18044: Norma internacional referente a tecnologías de la información, técnicas de seguridad y administración de los incidentes de seguridad. IEC TR13335: Tecnología de la información Técnicas de seguridad - Gestión de información y tecnología de seguridad de las comunicaciones - Parte 1: Conceptos y modelos para gestión de información y comunicaciones de tecnología de seguridad, es el primero de una serie que se ocupa de los aspectos de gestión de la planificación, implementación y operaciones, incluyendo mantenimiento, de la información y las comunicaciones de seguridad. Incidente: Es cualquier evento que no forma parte de la operación estándar de un servicio y que causa, o puede causar, una interrupción o una reducción de calidad del mismo. Interoperabilidad: Es la comunicación entre sistemas heterogéneos (tecnologías, o programas distintos) los cuales pueden intercambiar procesos o datos. Intranet Gubernamental: Es la estructura tecnológica a través de la cual se interconectan e integran las entidades del Estado, para compartir recursos, intercambiar información, realizar procesos y actividades conjuntas, desarrollar trámites y servicios en línea, fomentar el comercio electrónico y facilitar el acceso de todos los ciudadanos a su información. ISO18000: OHSAS (Occupational Health and Safety Assessment Series). OHSAS (Occupational Health and Safety Management Systems, Sistemas de Gestión de Salud y Seguridad Laboral) se refiere a una serie de especificaciones sobre la salud y seguridad en el trabajo, materializadas por BSI (British Standards Institution) ISO20000: La serie ISO/IEC Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie proviene de la adopción de la serie BS desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). La gestión de una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratado proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas. ITIL (Information Technology Infrastructure Library): es la guía desarrollada por la OGC (Oficina de Gobernabilidad de Comercio) en Norwich (Inglaterra) a nombre del gobierno Británico. Hoy, ITIL es el estándar global de facto en el área de Gerencia de Servicios, y contiene una documentación técnica públicamente disponible y comprensiva para planear, provisionar y soportar servicios de TI. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. IVR: Son las siglas de Interactive Voice Response. Línea de Servicio: Se consideran servicios macro los cuales pueden contener derivaciones (Servicio Macro: Centro de Datos. Línea de Servicio: Servicio de Hosting, Colocación, etc) Línea Tecnológica: Diferentes tecnologías que se encuentran disponibles o definidas en las entidades del estado colombiano en cualquiera de las capas funcionales de la arquitectura. (Software Ofrecido para el funcionamiento de una aplicación en cualquier capa (Windows Microsoft, Oracle, Linux, etc.)). Mantenimiento de Aplicaciones: Desarrollo y creación de código en las aplicaciones del Programa Agenda de Conectividad Estrategia Gobierno en Línea alojadas en la Intranet Gubernamental. Modelo de Seguridad: Consiste en las disposiciones de políticas, normas y controles que rigen la vigilancia de la seguridad de la información en TI. NIST SP 800: Guía para la administración del riesgo de sistemas en tecnologías de la información. ANEXO 18 Página 3 de 5

4 NTC 5411: Esta norma presenta los modelos y conceptos fundamentales para la comprensión básica de la seguridad de TICs y aborda los temas de gestión general esenciales para la planificación, la implementación, y la operación exitosa de la seguridad de las TICs. NTCGP 1000:2009: En cumplimiento de lo establecido en el artículo 6º de la Ley 872 de 2003, esta norma específica los requisitos para la implementación de un Sistema de Gestión de la Calidad aplicable a la rama ejecutiva del poder público y otras entidades prestadoras de servicios. Esta norma está dirigida a todas las entidades, y se ha elaborado con el propósito de que éstas puedan mejorar su desempeño y su capacidad de proporcionar productos y/o servicios que respondan a las necesidades y expectativas de sus clientes. NTC ISO/IEC 27001: El estándar para la seguridad de la información ISO/IEC (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido Ciclo de Deming : PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC (actual ISO/IEC 27002) y tiene su origen en la norma BS :2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). NTC/ISO 19011: La serie de normas internacionales ISO 9000 e ISO enfatiza la importancia de las auditorías como una herramienta de la dirección para hacer el seguimiento y verificar la implementación efectiva de la política de una organización para gestión de la calidad y/o gestión ambiental. Las auditorías también son parte esencial de actividades tales como certificación/registro externos y la evaluación y seguimiento de la cadena de suministro. Esta norma internacional proporciona orientación sobre la realización de auditorías de sistemas de gestión de calidad y/o ambiental internas o externas, al igual que sobre la gestión de los programas de auditoría. Los usuarios previstos de esta norma incluyen auditores, organizaciones que implementan sistemas de gestión de calidad y/o ambiental, y las organizaciones involucradas en certificación o formación de auditores, certificación/registro de sistemas de gestión, acreditación o normalización en el área de evaluación de la conformidad. Plan de Seguridad: Son las líneas de acción a observar para mitigar los riesgos en el tratamiento y custodia exigida de la información para garantizar su disponibilidad, integridad y confidencialidad. Está integrado por el Modelo de Seguridad y el Plan de Implementación del Modelo de Seguridad para su ejecución el cual consiste en las actividades y tareas que permiten dimensionar el tiempo y los recursos. Penalización: Descuento que aplica en caso de incumplimiento del nivel solicitado para el ANS Problema: Es la causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa. Cabe aclarar que un problema se transforma en un error conocido cuando se han determinado sus causas. Programa: Se entiende como Programa Agenda de Conectividad - Estrategia de Gobierno en Línea del Ministerio de las TIC. Proyecto: Etapas y desarrollo de los frentes que se establecen y exigen en el marco del proceso licitatorio LP : OPERACIÓN INTEGRAL DE LAS SOLUCIONES TECNOLÓGICAS DE GOBIERNO EN LÍNEA, LA PLATAFORMA DE INTEROPERABILIDAD Y LA INFRAESTRUCTURA Y SERVICIOS ASOCIADOS A LA INTRANET GUBERNAMENTAL RAVEC: Las siglas de Red de Alta Velocidad del Estado Colombiano. Riesgo: un evento o una condición incierta que, si se produce, tiene un efecto positivo o negativo sobre los objetivos de un proyecto. Posibilidad de que suceda algo que tendrá impacto en los objetivos. Se mide en términos de consecuencias y posibilidad de ocurrencia (AS/NZ 4360). Combinación de la probabilidad de un evento y sus consecuencias (ISO Guía 73).. Sistema de Gestión de la Seguridad de la Información en las organizaciones: Son las políticas, normas y controles que integran las actividades para la administración segura de la información de TI. Tecnología reciente aplicada a RAVEC: Tecnología de telecomunicaciones de la infraestructura requerida en RAVEC liberada en el mercado a partir del año anterior a la apertura de la presente licitación, que haya sido totalmente probada en los mercados y estabilizada. El fabricante de esta tecnología, debe proveer el producto directamente o tener canales de ANEXO 18 Página 4 de 5

5 Tecnología reciente de Centros de Datos: Tecnología de infraestructura de TI requerida en los Centros de Datos liberada en el mercado a partir del año anterior a la apertura de la presente licitación, que haya sido totalmente probada en los mercados y estabilizada. El fabricante de esta tecnología, debe proveer el producto directamente o tener canales de Tecnología reciente de Centros de Contacto: Tecnología de infraestructura de TI requerida en Centros de Contacto liberada en el mercado a partir del año anterior a la apertura de la presente licitación, que haya sido totalmente probada en los mercados y estabilizada. El fabricante de esta tecnología, debe proveer el producto directamente o tener canales de Unidad Desarrollo y Pruebas: Se refiere a la Línea Tecnológica sin Acuerdos de Niveles de Servicio o Disponibilidad exigida porque no están en producción, son pagos por las Entidades para realizar pruebas o desarrollos de sus aplicaciones. Su cobro se realiza a través de unidades computacionales, siendo lo mínimo 200. Webservices: Permite la comunicación entre aplicaciones o componentes de aplicaciones de forma estándar a través de protocolos comunes (como http) y de manera independiente al lenguaje de programación, plataforma de implantación, formato de presentación o sistema operativo. Un Web service es un contenedor que encapsula funciones específicas y hace que estas funciones puedan ser utilizadas en otros servidores. ANEXO 18 Página 5 de 5